拟议的 CISA 规则将要求报告网络事件和支付赎金

根据拟议规则制定通知，国土安全部网络安全和基础设施安全局正在提议建立一个涵盖 16 个关键部门的全面网络事件报告结构 发表在《联邦公报》上 (PDF) 周三。

CISA 表示，当拟议规则于 4 月 4 日发布时，它将提供 60 天的书面公众评论时间。

为什么它很重要

安全机构在网络事件报告规则通过后制定了拟议的网络事件报告规则。 2022 年关键基础设施网络事件报告法案，或 CIRCIA。

CISA 表示，预计最终规则将在征求意见期结束后 18 个月内发布，相关组织必须根据 CIRCIA 规定开始报告网络事件。

虽然 提议的规则 该机构表示，CISA 提供了基于行业的标准，其中以医疗器械制造为例，在考虑了这些要求在各种替代方案中的影响范围后，CISA 提出了基于实体的标准结构。

根据拟议的基于部门的标准，CISA 提出了执行某些功能的某些类型的设施，这些功能将在整个组织中扩展所涵盖实体的定义。

例如，“基于医疗保健和公共卫生部门的标准将包括制造任何 II 类或 III 类医疗器械的实体”，CISA 表示。

然而，虽然标准侧重于某些类型的设施“作为确定实体是否属于受涵盖实体的基础，但 CISA 提议整个实体（例如公司、组织）而不是单个设施或职能部门属于受涵盖实体”。实体，”该机构表示。

CISA 表示，如果报告仅限于仅影响基于部门的标准中确定的特定设施或功能的事件，则该机构“可能无法”执行特定部门的网络安全威胁和趋势分析。

这意味着，如果涵盖的实体经历重大网络事件或在任何职能或设施中支付赎金，则将触发强制性网络事件报告。

CISA 表示，在提案中，即使事件没有影响行业定义的设施，例如 II 类或 III 类医疗器械的制造商，也需要报告。

“同样，如果一个实体制造 II 类或 III 类医疗设备，除了不符合基于行业的标准之一的其他功能外，整个实体都是受覆盖实体，并且该实体的任何部分经历的任何重大网络事件需要报告，”CISA 说。

在两年多的时间里编写的近 500 页的文件中，CISA 解释了它考虑的替代方案以及每个方案被拒绝的原因。

例如，在替代方案 4“将受影响的人口增加到所有关键基础设施实体”中，CISA 表示，它扩大了所涵盖实体的描述范围，以包括在 16 个关键基础设施部门运营的“所有实体”。

“在这种替代方案下，受影响的人口将从 316,244 个涵盖的实体增加到 13,180,483 个涵盖的实体，从而使分析期内预期的 CIRCIA 报告数量从 210,525 份增加到 5,292,818 份。”

CISA 表示：“这将显着增加行业成本，在分析期内预计成本为 318 亿美元，按 2% 折现计算，年化成本为 35 亿美元。”

在医疗保健领域，CISA 审查了现有的网络安全法规，这些法规已经要求向各个机构报告，包括食品和药物管理局以及卫生与公众服务部。

“鉴于该行业对公共卫生的广泛重要性、组成该行业的实体的多样性、该行业的历史目标以及目前缺乏与数据泄露或医疗设备无关的所需报告，CISA 建议要求多个机构提供报告。该部门的一部分，”该机构表示。

在拟议的规则中，CISA 重点关注医院报告，而不是提供患者护理的所有类型的设施，“因为它们通常为这些不同类型的实体提供最关键的护理，患者和社区依赖它们来保持运营，包括面对影响其设备、系统和网络的网络事件，以保持其正常运行。”

为了进一步保护医疗保健服务，CISA 还扩大了对影响患者护理的公用事业（例如水/废水部门）的新要求。

更大的趋势

研究表明 一半的勒索软件攻击扰乱了医疗服务。 除了受保护数据的泄露之外，医疗保健服务的常见中断还包括电子系统停机、预定护理取消和救护车改道。

在提出网络事件报告规则之前，CISA 宣布创建其 勒索软件漏洞警告试点，CIRCIA 去年要求的一项计划。

该计划的目的是利用 CISA 的现有工具（例如网络卫生漏洞扫描服务）来减轻勒索软件的影响并向面临风险的组织发出警告。

CISA 在其 RVWP 计划常见问题解答中表示：“其中许多事件是勒索软件威胁行为者利用已知漏洞实施的。” “通过紧急修复这些漏洞，组织可以显着降低遭遇勒索软件事件的可能性。”

记录在案

该机构在 NOPR 中表示：“在设计拟议规则时，CISA 寻求一种能够在定性收益和与规则实施相关的成本之间提供最佳平衡的方法。”

“在制定这些拟议标准时，CISA 还考虑了与健康保险公司、健康 IT 提供商以及运营实验室或其他医疗诊断设施的实体相关的标准，”它补充道。 “最终，CISA 确定没有必要为这三个行业领域中的任何一个纳入特定的行业标准。”

Andrea Fox 是《医疗保健 IT 新闻》的高级编辑。
电子邮件： [email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。